W32.Stration@mm

(ночью кидал ссылку на скачаный файл через форму - отправить подозрительную ссылку)
зацепил по аське файл goog_move.exe, и сдуру запустил....
Symantec после перезагрузки выкидывает алерты:
confcon.dll 3шт (удалено-требуется перезагрузка)
conprf32.dll 2шт (удалено)
psapdani.dll 2шт (удалено)
hypewmv9.exe 2шт (удалено)
netftrm.dll 2шт (удалено)
если подождать какое то время не закрывая алерт и не перезагружаясь, то список удалённых файлов повторяется.
найти эти файлы в системе не получилось.
имхо, оно генерится и тут-же отлавливается нортоном и киляется.
вечным и неизменным, и в сис32 и в автозагрузке, остаётся yapconf.exe
удалял его и отложено и по всякому....
при первом скане AVZ червя отследил и удалил.
после перезагрузки и сей момент (в течении почти 12 часов) - ничего подозрительного в системе не находит.
Symantec после каждой перезагрузки выкидывает прежние алерты, yapconf живее всех живых, при подключении к WAN начинается массовая рассылка на яху и аол.
провайдер сказал, что не только туда, список ip расширяется.
на данный момент тупо заблокировал 25 порт на роутере...вроде стало полегче.
хелп ми, вощем :)

Пришлите как описано в правилах:

C:\WINDOWS\SYSTEM32\conmgr32.dll
C:\WINDOWS\system32\samsusrr.dll
c:\windows\system32\yapconf.exe
C:\WINDOWS\system32\conprf32.dll
C:\WINDOWS\system32\constat.dll

выслал.
в наличии только:
C:\WINDOWS\SYSTEM32\conmgr32.dll
C:\WINDOWS\system32\samsusrr.dll
c:\windows\system32\yapconf.exe
C:\WINDOWS\system32\constat.dll
я тут еще посканил машину......
------------------
20:23:29: Infected file (Win32.Unknown.Random.X) c:\windows\installer\{ac76ba86-1033-0000-7760-000000000002}\sc_acrobat.exe
20:23:29: Infected file (Sys32.conmgr32) C:\WINDOWS\system32\conmgr32.dll
20:23:29: Infected file (Sys32.sfrem01) C:\WINDOWS\system32\sfrem01.exe
20:23:29: Infected file (Sys32.yapconf) C:\WINDOWS\system32\yapconf.exe
20:23:29: Infected directory C:\Program Files\rds
20:27:43: Infected file (Win32.Spyware.AppsTraka) C:\Program Files\rds\RemoteDesktopServer.exe
20:27:43: Infected file (Win32.Spyware.AppsTraka) C:\Program Files\rds\users.ini
20:23:29: 7 Dangerous files has been found on your computer.
-------------------
после скана был произведён фикс, потом перезагрузка, сейчас сканер пишет что машина дественна, а симантек выкидывает алерты......всё как и раньше :)

Dr.Web Curelt нашел еще два файла с вирусом win32.HLLM.Limar
samsusrr.dll и samsusrr.exe
я чего-то не понимаю, или нет стандартизации вирусных имён и кто как хочет так его и называет?

Cтандартизации нет.

Пришло 3 файла-
C:\WINDOWS\system32\samsusrr.dll
c:\windows\system32\yapconf.exe
C:\WINDOWS\system32\constat.dll
Все зловреды

AVZ - AVZGuard - включить AVZGuard.
Через файл-отложенное удаление файла удалите
C:\WINDOWS\system32\samsusrr.dll
c:\windows\system32\yapconf.exe
C:\WINDOWS\system32\constat.dll
, подтвердив эвристическую чистку ссылок. Перезагрузите компьютер, не выходя из AVZ и не отключая AVZGuard и повторите лог HjT и лог из п. 10 правил.

2 HATTIFNATTOR
Спасибо Вам за проявленное внимание :)
я вроде уже справился (во всяком случае полчаса алертов нет.....хотя может вообще наглухо заразился весь ....тьфу,тьфу,тьфу)
добил его тандемом - нав+др.веб+процесс эксплорер

зы: еще раз СПАСИБО :)

но на всякий случай логи

Пофиксите а HjT строки
O20 - Winlogon Notify: conmgr - conmgr32.dll (file missing)
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll
В AVZ через поиск данных в реестре поищите по имени yapconf.exe и удалите ключ ссылающийся на него.

удалил:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\yapconf.exe"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egdiag]
"command"="C:\\WINDOWS\\system32\\yapconf.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"egdiag"="C:\\WINDOWS\\system32\\yapconf.exe"

пофиксил:
O20 - Winlogon Notify: conmgr - conmgr32.dll (file missing)
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll (file missing)

огромное спасибо за помощь :)